nieuws

Cyberpolis en zorgplicht: ‘Adviseur kan niet meer zeggen dat risico te verwaarlozen is’

Schade 1612

Wanneer neemt een verzekerde voldoende voorzorgsmaatregelen om cyberschade te voorkomen? En hoe concreet kan de verzekeraar daarover zijn in de polisvoorwaarden? Welke zorgplicht heeft de adviseur op dit vlak? Cyberpolissen zijn relatief jong en daardoor nog niet uitontwikkeld. Advocaat en onderzoeker Nynke Brouwer onderzoekt welke knelpunten, kinderziekten en valkuilen het product typeren.

Cyberpolis en zorgplicht: ‘Adviseur kan niet meer zeggen dat risico te verwaarlozen is’

Over cyberverzekeringen wordt veel geschreven, maar nog weinig vanuit juridisch perspectief. Niet vreemd, want er hebben nog weinig rechtszaken gediend rondom een polisgeschil over dit jonge product. “De cyberpolis heeft nog niet de toets van de rechtspraak doorstaan”, zegt Dirkzwager-advocaat en onderzoeker aan de Radboud Universiteit Nynke Brouwer. Het is een dankbaar onderwerp voor haar proefschrift. “Er zijn genoeg aspecten waar je vraagtekens bij kunt zetten.”

Bijvoorbeeld bij het uitgangspunt dat verzekerden redelijke voorzorgsmaatregelen moeten treffen om cyberschade te voorkomen. Vrijwel alle polissen die Brouwer onderzocht, gaan hiervan uit, maar vaak wordt niet gespecificeerd welke maatregelen precies genomen moeten worden. Ze zette op een rij welke aanwijzingen verzekeraars geven in zowel de polisvoorwaarden als in het vragenformulier dat aspirant-verzekeringnemers krijgen in de acceptatiefase.

Frequentie back-up

“Een aantal maatregelen wordt herhaaldelijk genoemd, zoals een firewall, antivirussoftware, regelmatige back-ups en een herstelprocedure, maar de mate van concreetheid varieert”, aldus Brouwer. “Moeten gegevens bijvoorbeeld dagelijks, wekelijks of maandelijks worden geback-upt? Verzekeraars lijken nog niet te weten wat een goede standaard is.” Het zal niet meevallen zo’n standaard vast te stellen, weet ook de onderzoeker. “De juiste frequentie hangt ook af van de aard en inrichting van de bedrijven zelf.”

In een van haar publicaties gooide de advocaat het balletje van een cyberkeurmerk op als voorwaarde voor het afsluiten van een cyberpolis. “Dat geeft in ieder geval houvast aan de verzekerde. Die weet: als ik hieraan voldoe, weet ik dat mijn uitgangspunt goed is. Nu zweeft dat een beetje, niemand weet waar hij aan toe is. Een keurmerk zou kunnen helpen om duidelijke afspraken te maken en dekkingsgeschillen zoveel mogelijk te voorkomen.”

Toch is Brouwer niet onverdeeld enthousiast over zo’n keurmerk. Daaraan kleeft namelijk ook een risico. “Je loopt kans dat verzekerden met een keurmerk het doel van een goede beveiliging uit het oog verliezen. Ze zetten een vinkje en denken dan dat ze voldoen aan de eisen. Terwijl cybersecurity natuurlijk een voortdurende evaluatie van risico’s vraagt.”

Menselijke factor

Een andere knelpunt dat Brouwer in haar onderzoek tegenkwam, is dat veel verzekeraars zich bij het formuleren van preventiemaatregelen vooral richten op technische bescherming. De menselijke factor blijkt bij cyberincidenten regelmatig de zwakste schakel – denk aan rondslingerende wachtwoorden of onzorgvuldige omgang met privacygevoelige data – maar wordt lang niet door alle aanbieders van cyberpolissen benoemd.

Je loopt kans dat verzekerden met een keurmerk het doel van een goede beveiliging uit het oog verliezen

“Een paar verzekeraars besteden wel aandacht aan organisatorische aspecten. Het is logisch dat je in eerste instantie denkt aan de techniek. Bovendien is de menselijke factor lastiger te standaardiseren. Verzekeraars kunnen daardoor moeilijk eisen stellen aan de organisatorische inrichting. Toch zouden ze hier iets mee moeten.”

Hoe dat het best kan, laat Brouwer liever aan organisatiedeskundigen over. Ze wijst wel op het belang van heldere voorwaarden, ook op dit punt. “Juridisch kan het voor verzekeraars nadelige consequenties hebben als je slechts vage eisen stelt, als je alleen stelt dat bedrijven organisatorisch ‘iets moeten doen’. Het risico bestaat dat je daar in een concreet geval geen beroep op kunt doen, tenzij iemand flagrant tekort is geschoten.”

Polissen groeien naar elkaar toe

Opvallend aan de huidige cyberverzekeringen is dat ze onderling nog veel verschillen, constateert Brouwer. “Er is nog weinig standaardisatie. Begrijpelijk, want het is een nieuw product, anders dan bijvoorbeeld de brandverzekering die al heel lang bestaat. Daardoor maakt het uit bij welke verzekeraar je een polis afsluit, bijvoorbeeld voor welke vragen worden gesteld bij de acceptatie. Ook definities zijn nog verschillend. Dekkingen groeien al wel steeds meer naar elkaar toe. Ik verwacht dat in de toekomst polissen steeds meer op elkaar zullen gaan lijken.”

Huis op instorten

Eveneens lastig op cybergebied is hoe verzekeraars moeten omgaan met de bereddingsplicht. Een huis dat op instorten staat, moet gauw gestut worden, maar hoe weet een ondernemer of zijn digitale infrastructuur bijna aan cyberdreigingen ten onder gaat? Brouwer: “Bij onmiddellijk dreigend gevaar moet je maatregelen nemen om schade te voorkomen, maar zeker de gemiddelde mkb’er heeft geen idee van de staat van zijn digitale huis. Hoe weet hij dan of het op instorten staat? Ook voor verzekeraars is het nog steeds ingewikkeld om in te schatten hoe stevig het raamwerk is. Je weet natuurlijk dat dat bij dit soort risico’s nooit 100% is, maar onduidelijk is waar het kantelpunt ligt. Wanneer had je als verzekerde zeker actie moeten ondernemen?”

Omdat het risico zo ongrijpbaar is, is ook de reikwijdte van de zorgplicht van de adviseur nog in nevelen gehuld. Brouwer: “Voor een adviseur moet er een concrete aanleiding zijn om over cyberrisico’s te adviseren, maar ben je verplicht er zelf over te beginnen? En hoe? De effecten van een cyberaanval zijn moeilijk voor te stellen. Dat zijn best ingewikkelde kwesties, maar je kunt in ieder geval niet meer zeggen dat het risico te verwaarlozen is.”

Rechtszaken

In de VS loopt op dit moment een rechtszaak over de vraag of een verzekerde voldoende voorzorgsmaatregelen heeft genomen, vertelt Brouwer. Of het tot een uitspraak komt is onbekend; in Amerika worden veel zaken geschikt. Hoewel haar geen lopende Nederlandse zaken over polisconflicten van een cyberverzekering bekend zijn, zouden die in zekere zin wel welkom zijn, zegt ze. Niet alleen met het oog op haar onderzoek, maar ook voor de volwassenwording van het cyberproduct. “Jurisprudentie kan veel onduidelijkheden wegnemen, bijvoorbeeld als er problemen zijn met de interpretatie van voorwaarden.”

Reageer op dit artikel